Navigation und Service

BSI-Leitfaden zur Einführung von Intrusion-Detection-Systemen

Hilfsmittel für die Revision

« zur Übersicht

Folgende Hilfsmittel werden für die Revision von IDS bereitgestellt:

7.1 Fragen und Prüfmethoden zur Prüfung der Dokumentation

Frage:Gibt es einen IDS-Eskalationsplan? Erfüllt der Eskalationsplan folgende Anforderungen?
  • Für jeden Alarm bzw. Alarmlevel ist angegeben, welche Eskalation bei dessen Auftreten zu erfolgen hat, d. h. wer mit welcher Dringlichkeit zu benachrichtigen ist und über welche Kommunikationsmedien mit welchen Adressen die Benachrichtigung erfolgt.
  • Für Alarme des IDS, kann in einfacher Weise ohne spezielles IDS-Know-How ermittelt werden, welche Eskalationsschritte durchzuführen sind.
Prüfmethode:Sichtung des IDS-Eskalationsplans beim IDS-Monitoring. Test der Anwendung des Plans auf ausgewählte IDS-Alarme.
Frage:Liegt ein aktuelles Betriebshandbuch für das IDS vor? Enthält das Betriebshandbuch die notwendigen Informationen?

Welche Inhalte das Betriebshandbuchs aufweisen sollte, ist im zugehörigen Dokumentenrahmen in Anhang 6.1 angegeben.

  • Beschreibung der Infrastruktur
  • Regelungen zur Inbetriebnahme der einzelnen IDS-Komponenten
  • Regelungen zur Inbetriebnahme der einzelnen IDS-Komponenten
  • Regelungen für den Betrieb der IDS-Komponenten
  • Regelungen zur Behebung von Betriebsunterbrechungen
  • Richtlinien zur Nutzung des IDS.
Prüfmethode:Sichtung des IDS-Betriebshandbuchs.
Frage:Ist der aktuelle Stand des IDS dokumentiert? Enthält die Dokumentation folgende Angaben?
  • Aktuelle Softwareversionen der einzelnen IDS-Komponenten.
  • Zeitpunkt der letzten Aktualisierungen (Software, Patches, Signaturen).
  • Aktuelle Änderungen des Einsatzszenarios (z. B. Einsatz zusätzlicher Sensoren), die aufgrund ihrer Aktualität noch nicht im Betriebshandbuch berücksichtigt sind.

Die Dokumentation kann teilweise auch implizit im System vorliegen und ist z. B. aus dem IDS-Systemprotokoll ersichtlich. Es ist zu prüfen, ob die IDS-Administration über die entsprechenden Daten verfügt bzw. diese schnell ermitteln kann.

Prüfmethode:Befragung der IDS-Administration.

7.2 Fragen und Prüfmethoden zur Prüfung des ordnungsgemäßen IDS-Einsatzes und Betriebs

Die Prüfung des ordnungsgemäßen IDS-Einsatzes und Betriebs umfasst folgende Kontrollen:

  • Verfügen die Mitarbeiter, die in den definierten IDS-Rollen tätig werden, über die erforderlichen Kenntnisse und sind sie mit ihren Aufgaben vertraut?
  • Wird das IDS gemäß dem dokumentierten Einsatzszenario eingesetzt?
Frage:Sind die Mitarbeiter der IDS-Administration mit ihren Aufgaben vertraut und verfügen sie über die erforderlichen Kenntnisse?
Prüfmethode:

Ausgewählte Mitarbeiter der IDS-Administration werden nach ihren Aufgaben hinsichtlich des IDS befragt. Die Antworten werden anhand der im Betriebshandbuch dokumentierten Zuständigkeiten und Verantwortlichkeiten kontrolliert.
Der Revisor lässt sich von den Mitarbeitern das IDS-Ereignisprotokoll anzeigen. Für stichprobenhaft ausgewählte Ereignisse lässt sich der Revisor

  • erläutern, welche Bedeutung das Ereignis hat und welche Auswirkungen es auf die zu schützende Infrastruktur hat, sowie
  • zeigen, welche Intrusion-Response für das Ereignis konfiguriert ist.

Der Revisor ermittelt kürzlich bekannt gewordene Angriffe und Sicherheitslücken, z. B. durch Anfrage bei einem CERT oder öffentlicher Quellen. Er prüft, ob der IDS-Administrator über diese Angriffe bzw. Sicherheitslücken informiert ist, ob ihre Erkennung für die zu schützende Infrastruktur relevant ist und ob das IDS sie erkennt.

Frage:Sind die Mitarbeiter des IDS-Monitoring mit ihren Aufgaben vertraut und verfügen sie über die erforderlichen Kenntnisse?
Prüfmethode:Ausgewählte Mitarbeiter des IDS-Monitoring werden nach ihren Aufgaben in Bezug zum Intrusion-Detection befragt. Anhand ausgewählter Beispiele möglicher IDS-Alarmierungen wird geprüft, ob die einzelnen Mitarbeiter den Alarm in korrekter Weise einer Eskalationsstufe zuordnen und die durchzuführenden Eskalationsschritte ermitteln können.
Frage:Sind die Mitarbeiter des IDS-Incident-Response mit ihren Aufgaben vertraut und verfügen sie über die erforderlichen Kenntnisse?
Prüfmethode:Welche Mitarbeiter im Falle welcher IDS-Alarme zu verständigen sind, ist im IDS-Eskalationsplan aufgeführt. Für ausgewählte Alarme werden die gemäß IDS-Eskalationsplan für das Incident-Response zuständigen Mitarbeiter über ihre Aufgaben im Bezug auf Intrusion-Detection befragt.
Zunächst wird dabei geprüft, ob jeder Mitarbeiter darüber informiert ist, dass er im Fall des ausgewählten IDS-Alarms für das entsprechende Incident-Response zuständig ist.
Darauf aufbauend wird vom Mitarbeiter abgefragt, wie er sich im Falle einer Alarmierung verhält. Beispielsweise kann sich hierzu der Revisor vom Mitarbeiter anhand eines Beispiels aus der Vergangenheit den Incident-Response konkret erläutern lassen.
Frage:Sind für hostbasierte Sensoren die entsprechenden System- bzw. Anwendungsverantwortlichen mit ihren Aufgaben vertraut?
Prüfmethode:Für Systeme bzw. Anwendungen, die durch hostbasierte Sensoren überwacht werden, werden stichprobenhaft die zuständigen System- bzw. Anwendungsverantwortlichen nach ihren Aufgaben in Bezug zum Intrusion-Detection befragt. Die Antworten werden anhand der entsprechenden Regelungen im IDS-Betriebshandbuch kontrolliert.
Frage:Wird das IDS gemäß dem dokumentierten Einsatzszenario eingesetzt?
Prüfmethode:Der Revisor prüft das Einsatzszenario durch einen Vergleich des im IDS-Betriebshandbuch dokumentierten Einsatzszenarios mit dem realen Einsatzszenario. Er lässt sich hierzu durch einen Mitarbeiter der IDS-Administration erläutern, welche Sensoren verwaltet werden und auf welchen Systemen die Sensoren installiert sind. Bei hostbasierten Sensoren wird der Name des System- bzw. Anwendungsverantwortlichen des überwachten Systems abgefragt und stichprobenhaft kontrolliert, ob der System- bzw. Anwendungsverantwortliche den Betrieb des hostbasierten Sensors bestätigt.

7.3 Fragen und Prüfmethoden zur Prüfung der Wirksamkeit des IDS und der Incident-Response-Organisation

Zur Prüfung der Wirksamkeit des IDS und des Incident-Handlings erfolgen folgende Kontrollen:

  • Erkennt und meldet das IDS Angriffe und Sicherheitsverletzungen?
  • Ist das IDS sinnvoll und angemessen konfiguriert und kalibriert?
  • Ist das Incident-Handling funktionstüchtig?

    • Reagiert das IDS-Monitoring in definierter Weise auf Alarme?
    • Ist das IDS-Incident-Response permanent besetzt?

Zur Kontrolle, ob das IDS Angriffe und Sicherheitsverletzungen erkennt und meldet, ist ein Penetrationstest auf den vom IDS überwachten Netzen und ausgewählten Systemen bzw. Anwendungen durchzuführen.

Frage:Werden Angriffe und Sicherheitsverletzungen durch das IDS erkannt?
Prüfmethode:Es werden Penetrationstests gegen die vom IDS überwachten (Teil-)Netze und ausgewählten Systeme bzw. Anwendungen durchgeführt. Im Rahmen der Befragung der IDS-Administration wird kontrolliert, ob die Penetrationstests vom IDS korrekt gemeldet wurden.

Voraussetzung für die folgenden Fragen ist, dass der Revisor über eine Liste ausgewählter, sicherheitskritischer Ereignisse verfügt. Diese Liste kann der Revisor z. B. mit Unterstützung durch interne oder externe Sicherheitsexperten anfertigen.

Frage:Ist das IDS sinnvoll und angemessen kalibriert?
Prüfmethode:Zusammen mit einem Mitarbeiter der IDS-Administration wird kontrolliert, ob das IDS so konfiguriert ist, dass bei der Erkennung von Ereignissen der o. g. Liste eine Alarmierung des IDS erfolgt.
Des Weiteren wird von der IDS-Administration für ausgewählte Alarme abgefragt, in welcher Weise diese dem IDS-Monitoring angezeigt werden. Der Revisor dokumentiert die Form der Anzeige des Alarms.
Frage:Reagiert das IDS-Monitoring gemäß der Vorgaben auf Alarme?
Prüfmethode:Zur Prüfung, ob das IDS-Monitoring gemäß dem IDS-Eskalationsplan auf Alarme reagiert, ist es sinnvoll, einen IDS-Alarm vorzutäuschen und die Reaktion des IDS-Monitoring zu kontrollieren.
Falls dies aus technischen Gründen nicht möglich ist, können lediglich die Rahmenbedingungen geprüft werden (vgl. Abschnitt 7.2): Für die zuvor ausgewählten Alarme wird geprüft, ob das IDS-Monitoring den Alarm in korrekter Weise einer Eskalationsstufe zuordnen und die durchzuführenden Eskalationsschritte ermitteln kann
Frage:Sind die für das IDS-Incident-Response vorgesehenen Mitarbeiter erreichbar?
Prüfmethode:

Sinnvoll wäre auch hier die Vortäuschung einer IDS-Alarmierung und die Kontrolle der Reaktion der gemäß IDS-Eskalationsplan für das IDS-Incident-Response verantwortlichen Mitarbeiter.

Falls dies aus technischen Gründen nicht möglich ist, wird für die ausgewählten Alarme geprüft, ob die gemäß IDS-Eskalationsplan zu verständigenden Mitarbeiter erreichbar sind.

7.4 Dokumentenrahmen für eine Revisionsrichtlinie

Kapitel 1: Zuständigkeiten und Vorgaben für die Revision des IDS

Hier ist anzugeben, wer für die Revision des IDS verantwortlich ist und wie oft bzw. zu welchen Zeitpunkten eine Revision durchgeführt werden soll.

Kapitel 2: Vorgehen zur Revision

In diesem Kapitel ist das Vorgehen bzw. unterschiedliche Vorgehensweisen zur Revision des IDS zu beschreiben.

Anhang: Fragestellungen und Prüfmethoden

Zu den zuvor beschriebenen Vorgehensweisen sind Fragestellungen und Prüfmethoden vorzugeben. Die Fragestellungen und Prüfmethoden sollten dabei so allgemein gehalten werden, dass keine Verfälschung der Revisionsergebnisse durch eine gezielte Vorbereitung von Unterlagen möglich ist.